15
SPAM - Blacklist
Hallo,
In unserer Firma haben wir einen Exchange 2010 Server, der über eine Firewall und der damit verbundenen Emailsecurity direkt in's Internet sendet. Im Firmennetz senden nur Exchange Postfächer nach draußen. Extern gibt es an die 100 User, die eine POP3 Account(pop:110/smtp:25) nutzen.
Vor 2 Tagen ist unsere öffentlich fest IP Adresse geblacklisted worden. Überprüfungen in der Firma brachten den potentiellen Spammer nicht an's Tageslicht(alles sauber). Ich konnte lediglich ein Delisting auf den enstprechenden Seiten veranlassen. Gibt es eine Möglichkeit, einen Dienst im Internet, den Spammer hinter der öffentlichen IP Adresse herauszufinden???
In unserer Emailsecurity sehe ich, wieviel und von wem E-Mails gesendet werden - ist aber unauffällig. Im Firewall Log, sehe ich was im Firmennetz passiert - aber auch hier gibt es nichts Auffälliges.Trotzdem sind wir auf einer Blacklist gelandet. Irgendein externer PC , der einen POP3 Account hat muß sich einen Trojaner eingefangen haben. Was kann man tun, um diesen dingfest zu machen????
In unserer Firma haben wir einen Exchange 2010 Server, der über eine Firewall und der damit verbundenen Emailsecurity direkt in's Internet sendet. Im Firmennetz senden nur Exchange Postfächer nach draußen. Extern gibt es an die 100 User, die eine POP3 Account(pop:110/smtp:25) nutzen.
Vor 2 Tagen ist unsere öffentlich fest IP Adresse geblacklisted worden. Überprüfungen in der Firma brachten den potentiellen Spammer nicht an's Tageslicht(alles sauber). Ich konnte lediglich ein Delisting auf den enstprechenden Seiten veranlassen. Gibt es eine Möglichkeit, einen Dienst im Internet, den Spammer hinter der öffentlichen IP Adresse herauszufinden???
In unserer Emailsecurity sehe ich, wieviel und von wem E-Mails gesendet werden - ist aber unauffällig. Im Firewall Log, sehe ich was im Firmennetz passiert - aber auch hier gibt es nichts Auffälliges.Trotzdem sind wir auf einer Blacklist gelandet. Irgendein externer PC , der einen POP3 Account hat muß sich einen Trojaner eingefangen haben. Was kann man tun, um diesen dingfest zu machen????
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276884
Url: https://administrator.de/contentid/276884
Printed on: April 20, 2024 at 01:04 o'clock
15 Comments
Latest comment
Hallo,
- bei den RBLs wird üblicherweise der Grund für das Listing aufgeführt, da sind zumindest Datum/Uhrzeit zu finden
- prüfen ob außer dem Exchange auch andere auf Port 25 nach draußen kommen und per NAT eure externe IP verwenden
- prüfen ob alle externen sich bei SMTP (nicht POP3) authentifizieren müssen
- in den Exchange logs sollte für den fraglichen Zeitpunkt aufgeführt sein was verschickt wurde
Gruß
Andi
- bei den RBLs wird üblicherweise der Grund für das Listing aufgeführt, da sind zumindest Datum/Uhrzeit zu finden
- prüfen ob außer dem Exchange auch andere auf Port 25 nach draußen kommen und per NAT eure externe IP verwenden
- prüfen ob alle externen sich bei SMTP (nicht POP3) authentifizieren müssen
- in den Exchange logs sollte für den fraglichen Zeitpunkt aufgeführt sein was verschickt wurde
Gruß
Andi
Hallo
diese Infos habe ich beim Listing bei mxtoolbox.com erhalten(hier einen free Montior registriert):
Der Exchange verhält sich normal. Die Emails, die in der Zeit rausgingen,waren im normalen Rahmen
Die POP3 User müssen sich mit Kennwort und Benutzernamen authentifizieren.
Im Exchange Log ist auch nichts Auffälliges zu sehen(keine übermäßig vielen Mails(1000 in der Stunde oder ähnlich).
Unsere Firewall zeigt keinen Alert diesbezüglich an, ausser ab und an mal einen Portscan von außen.
Alle Emails gehen über Sonicwall Emailsecurity nach draußen und werden gescannt.
diese Infos habe ich beim Listing bei mxtoolbox.com erhalten(hier einen free Montior registriert):
Der Exchange verhält sich normal. Die Emails, die in der Zeit rausgingen,waren im normalen Rahmen
Die POP3 User müssen sich mit Kennwort und Benutzernamen authentifizieren.
Im Exchange Log ist auch nichts Auffälliges zu sehen(keine übermäßig vielen Mails(1000 in der Stunde oder ähnlich).
Unsere Firewall zeigt keinen Alert diesbezüglich an, ausser ab und an mal einen Portscan von außen.
Alle Emails gehen über Sonicwall Emailsecurity nach draußen und werden gescannt.
Haben denn andere Systeme (Server, Clients...), die über eure IP nach draußen verbinden die Möglichkeit, Port 25 zu nutzen? Es ist ja nicht unüblich, dass mit passender Malware infizierte Systeme in eurem Netz als Spambot fungieren und am Mailserver vorbei nach draußen verbinden. Dann siehst du in dessen Logs natürlich nichts.
Um das zu erkennen/auszuschließen, kannst du ja per Firewall alle ausgehenden Verbindungen zu Port 25/TCP ausgehend verbieten und eine Ausnahmeregel für euren Mailserver lassen. Im Zweifel taucht dann im Firewall-Log auf (und *DAS* fällt auf
) wer da Spam verschickt.
Um das zu erkennen/auszuschließen, kannst du ja per Firewall alle ausgehenden Verbindungen zu Port 25/TCP ausgehend verbieten und eine Ausnahmeregel für euren Mailserver lassen. Im Zweifel taucht dann im Firewall-Log auf (und *DAS* fällt auf
) wer da Spam verschickt.
Manche Blacklists listen auch ganze Netze...
Welche RBL war es denn die euch angemeckert hat? Vielleicht hier http://multirbl.valli.org mal prüfen was andere dazu meinen.
Gruß
Andi
Welche RBL war es denn die euch angemeckert hat? Vielleicht hier http://multirbl.valli.org mal prüfen was andere dazu meinen.
Gruß
Andi
Hallo,
in unsere Firewall(Sonicwall NSA 24009) sehe ich im Log jede Bewegung. Wenn also auf irgendeinem PC/Notebook in unserem Netz etwas geschieht, wird das angezeigt. Bösartige Zugriff von außen/innen werden farbig dargestellt. Bis dato habe ich nix gesehen. Also ist bei uns alles sauber. Wir haben hier am Standort 60 User hinter der Firewall und 90 weltweit , die per POP mit unserem Mailserver kummunizieren.
Wir waren bei http://cbl.abuseat.org/ gelistet.
in unsere Firewall(Sonicwall NSA 24009) sehe ich im Log jede Bewegung. Wenn also auf irgendeinem PC/Notebook in unserem Netz etwas geschieht, wird das angezeigt. Bösartige Zugriff von außen/innen werden farbig dargestellt. Bis dato habe ich nix gesehen. Also ist bei uns alles sauber. Wir haben hier am Standort 60 User hinter der Firewall und 90 weltweit , die per POP mit unserem Mailserver kummunizieren.
Wir waren bei http://cbl.abuseat.org/ gelistet.
Hallo,
cbl.abuseat.org ist recht zuverlässig, da würde ich mir schon Gedanken machen woher das Listing kommt...
Was wurde als Grund angezeigt? Du solltest beachten das manche Viren/Trojaner bereits in der Lage sind den eingetragenen Mailserver zum Versand zu verwenden, d.h. du kannst nur noch am Inhalt und eventuell der Zieladresse erkennen, das nicht der Benutzer sondern Schadcode die E-Mail versendet hat. Außerdem solltest du genau darauf achten ob eventuell Webseiten per DNAT die selbe IP verwenden oder über eueren Mailserver verschicken. Und verlasse dich niemals alleine darauf was irgend eine Firewall/IPS etc. in Bunt anzeigt, die kann so wie Virenscanner auch nur bereits bekannte Störer finden/anzeigen.
Viel Erfolg
Andi
cbl.abuseat.org ist recht zuverlässig, da würde ich mir schon Gedanken machen woher das Listing kommt...
Was wurde als Grund angezeigt? Du solltest beachten das manche Viren/Trojaner bereits in der Lage sind den eingetragenen Mailserver zum Versand zu verwenden, d.h. du kannst nur noch am Inhalt und eventuell der Zieladresse erkennen, das nicht der Benutzer sondern Schadcode die E-Mail versendet hat. Außerdem solltest du genau darauf achten ob eventuell Webseiten per DNAT die selbe IP verwenden oder über eueren Mailserver verschicken. Und verlasse dich niemals alleine darauf was irgend eine Firewall/IPS etc. in Bunt anzeigt, die kann so wie Virenscanner auch nur bereits bekannte Störer finden/anzeigen.
Viel Erfolg
Andi
Hallo, wir sind wieder gelistet.
Sie hier:
At the time of removal, this was the explanation for this listing:
This IP is infected (or NATting for a computer that is infected) with the dyre spambot. In other words, it's participating in a botnet.
If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.
Ich habe einige externe User angeschrieben, die übermässig viele Mails schicken, ihre Computer zu prüfen. Wie kann ich ich mich vor so einem Mist schützen? echt ätzend.
Sie hier:
At the time of removal, this was the explanation for this listing:
This IP is infected (or NATting for a computer that is infected) with the dyre spambot. In other words, it's participating in a botnet.
If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.
Ich habe einige externe User angeschrieben, die übermässig viele Mails schicken, ihre Computer zu prüfen. Wie kann ich ich mich vor so einem Mist schützen? echt ätzend.
Hallo,
ich hoffe für alle internen Maschinen ist Port 25 ausgehend gesperrt?
Wenn dem so ist dann müssen die Spam(bot) Mails tatsächlich über den Exchange raus, dann bleibt dir nur die Möglichkeit nach "seltsamen" Zieladressen zu fanden, da CBL Listing über Spamtraps betreibt.
http://blog.trendmicro.com/trendlabs-security-intelligence/new-dyre-var ...
Außerdem wäre es empfehlenswert zu prüfen was der Virenscanner auf den PCs dazu meint soweit vorhanden...
Gruß
Andi
ich hoffe für alle internen Maschinen ist Port 25 ausgehend gesperrt?
Wenn dem so ist dann müssen die Spam(bot) Mails tatsächlich über den Exchange raus, dann bleibt dir nur die Möglichkeit nach "seltsamen" Zieladressen zu fanden, da CBL Listing über Spamtraps betreibt.
http://blog.trendmicro.com/trendlabs-security-intelligence/new-dyre-var ...
Außerdem wäre es empfehlenswert zu prüfen was der Virenscanner auf den PCs dazu meint soweit vorhanden...
Gruß
Andi
Danke für Deine Antwort.
Alle internen User haben Exchange Accounts. Nur die externen nutzen Port 25 für das Senden.
Die Emails gehen über unsere Emailsecurity Sonicwall ES raus. Ich sehe lediglich, wer viele Emails in einem bestimmten Zeitraum sendet.
Bei der anderen Möglichkeit hilf mir bitte mal auf die Sprünge...
Alle internen User haben Exchange Accounts. Nur die externen nutzen Port 25 für das Senden.
Die Emails gehen über unsere Emailsecurity Sonicwall ES raus. Ich sehe lediglich, wer viele Emails in einem bestimmten Zeitraum sendet.
Bei der anderen Möglichkeit hilf mir bitte mal auf die Sprünge...
Mach mal auf einer internen Maschine "telnet mx01.emig.gmx.net 25", falls eine Antwort kommt hast du ein Problem...
Ab Windows Vista aufwärts muß man telnet leider nachinstallieren falls du kein Unix zur Hand hast
Mails die über den Exchange gehen müssten auch in dessen (SMTP) Log zu finden sein, dort steht üblicherweise Sender, Empfänger, Uhrzeit und Größe der E-Mail...
Gruß
Andi
Ab Windows Vista aufwärts muß man telnet leider nachinstallieren falls du kein Unix zur Hand hast
Mails die über den Exchange gehen müssten auch in dessen (SMTP) Log zu finden sein, dort steht üblicherweise Sender, Empfänger, Uhrzeit und Größe der E-Mail...
Gruß
Andi
Hallo Andi,
habe den Telnet Befehl abgesetzt. In der Tat kommt eine Rückmeldung:
220 gmx.net (mxgmx108) Nemesis ESMTP Service ready
Was ist zu tun?
habe den Telnet Befehl abgesetzt. In der Tat kommt eine Rückmeldung:
220 gmx.net (mxgmx108) Nemesis ESMTP Service ready
Was ist zu tun?
Port 25 auf der Firewall sperren?
Genauer: Ziel-Port 25/TCP ausgehend auf der Firewall sperren für alle Clients, mit Ausnahme eures Mailservers.
Genauer: Ziel-Port 25/TCP ausgehend auf der Firewall sperren für alle Clients, mit Ausnahme eures Mailservers.
OK. Habe verstanden.
Werden die externen User(POP) dadurch tangiert bzw. können die weiter Mailen?
Werden die externen User(POP) dadurch tangiert bzw. können die weiter Mailen?
Normal nicht, wenn du nur jene Verbindungen blockierst, die von deinem internen LAN nach extern aufgebaut werden.
Notfalls müssten die externen Nutzer auf den Submission-Port (465) ausweichen
Notfalls müssten die externen Nutzer auf den Submission-Port (465) ausweichen
Hallo,
eventuell schon zu spät, aber sollte das noch einmal vorkommen kann es sich auch um den
Dyre Trojaner handeln der MikroTik und Ubiquiti Router hijacked! Artikel
Ich weiß ja jetzt nicht was Ihr für eine Firewall habt, aber es sollte eventuell auch einmal
an eine UTM gedacht werden eventuell von Sophos, und AV Scanner auf dem Exchange
und den Klienten sollten dann noch zusätzlich Sicherheit geben!
Gruß
Dobby
eventuell schon zu spät, aber sollte das noch einmal vorkommen kann es sich auch um den
Dyre Trojaner handeln der MikroTik und Ubiquiti Router hijacked! Artikel
Ich weiß ja jetzt nicht was Ihr für eine Firewall habt, aber es sollte eventuell auch einmal
an eine UTM gedacht werden eventuell von Sophos, und AV Scanner auf dem Exchange
und den Klienten sollten dann noch zusätzlich Sicherheit geben!
Gruß
Dobby
